Tous les certificats Code Signing sur le token. Qu'est-ce que cela signifie ?
5 août 2022 | Jindřich Zechmeister
À partir de juin 2023, les exigences des certificats de signature de code OV changent. Les clés privées des certificats Code Signing OV seront stockées sur les matériels certifiés (tokens USB). Qu'est-ce que cela signifie pour les utilisateurs et quelles sont les options disponibles ?
Qu'est-ce que cela signifie pour les utilisateurs ?
Tous les certificats Code Signing émis après le 15/11/2022 01/06/2023 seront stockés sur un token sécurisé et distribués par courrier.
Tous les nouveaux certificats Code Signing commandés après le 1er juin seront seront obligatoirement stockés et installés sur des matériels certifiés. Il ne sera plus possible d'exporter un certificat Code Signing au format .pfx.
Le token ne permet pas d'exporter la clé privée du certificat, il offre un moindre confort d'utilisation, mais assure une plus grande sécurité.
Renouvelez votre certificat pour 3 ans et reportez le changement
Si le changement ne vous plait pas, nous avons un conseil. Renouvelez votre certificat Code Signing ou en achetez un nouveau pour une durée de validité maximale de 3 ans. Vous pourrez créer un fichier .pfx et utiliser le certificat comme avant pendant les 3 prochaines années.
Vous pouvez économiser en achetant un certificat pour 2-3 années ; le prix annuel du certificat sera automatiquement réduit. Mais attention, il est important de ne pas perdre la clé privée, en cas de réémission, le certificat sera délivré sur le token.
Y a-t-il une possibilité de signer sans token ?
L'utilisation du certificat sur un token est sécurisée, mais moins pratique. Le token demande un mot de passe à chaque signature, ce qui peut être incompatible avec l’automatisation et l’utilisation en équipe. Si vous êtes habitué d'utiliser les principes CI/CD, c'est un problème.
Pour répondre à ce besoin, il existe une solution cloud. Secure Software Manager est un moyen de stockage sécurisé, moderne, simple et peu coûteuse et fait partie de la plate-forme DigiCert ONE.
Digicert Secure Software Manager permet de signer le hash d'un code ("hash signing"). La signature est effectuée sur le cloud DigiCert, où se trouve le certificat avec la clé privée. Le hash (une empreinte du fichier) est signé et envoyé vers le cloud, ensuite l'outil de signature l'ajoute à l'application signée. La communication avec le cloud de Digicert s'effectue en vous connectant sur les outils de signature tiers de DigiCert (toutes les plates-formes sont prises en charge).
La signature sur le cloud est la solution de l'avenir. La signature est plus sécurisée, plus rapide et les fichiers signés ne sont pas envoyés via internet. Vous avez un contrôle total sur les paires de clés et toutes les opérations sont soigneusement enregistrées.